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BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE 


Aan de Voorzitter van de Tweede Kamer der Staten-Generaal 
Den Haag, 29 april 2016 

Inleiding 

In mijn brief van 16 februari 2016 (Kamerstukken II 2015/16, 32 317, 
nr. 388) zegde ik u toe een beoordeling te geven van het EU - US Privacy 
Shield zodra de teksten daarvan ter beschikking zijn gesteld. De Europese 
Commissie heeft deze teksten ter beschikking gesteld op 29 februari 2016. 
Bijgaand treft u deze teksten 2 aan. In het onderstaande voldoe ik aan de 
gedane toezegging. Ik merk daarbij op dat ook deze appreciatie berust op 
een eerste lezing van een omvangrijk en ingewikkeld pakket aan maatre¬ 
gelen en toezeggingen. 

Leeswijzer 

In het onderstaande ga ik eerst in op de structuur en het rechtskarakter 
van het EU - US Privacy Shield (hierna: Shield). Ik ga vervolgens kort in 
op de eigenlijke inhoud van het Shield, op het toezicht op de naleving en 
de handhaving ervan in de Verenigde Staten (VS), en daarna op de 
toegang door de overheid tot gegevens die met toepassing van het Shield 
worden doorgegeven en de daarbij geldende waarborgen voor de 
bescherming van de persoonlijke levenssfeer. Daarna geef ik een korte 
weergave van de voornaamste onderdelen van het advies van de Artikel 
29 Werkgroep (WP 29) dat op 13 april 2016 is bekendgemaakt. Ik geef 
vervolgens een voorlopige beoordeling, waarbij ik het advies van WP 29 
betrek. Ik sluit af met een schets van de procedure voor de vaststelling en 
het mogelijke vervolg daarvan. 

Structuur en rechtskarakter EU - US Privacy Shield 

Het Shield is formeel een ontwerpuitvoeringsbesluit van de Commissie 
gebaseerd op artikel 25, zesde lid, van richtlijn 95/46/EG (hierna: de 
richtlijn). Krachtens deze bepaling kan de Commissie constateren dat een 
derde land beschikt over een passend niveau van gegevensbescherming. 
Passend is een niveau dat in essentie gelijkwaardig is aan dat van de EU. 
Doorgaans bevatten dergelijke beslissingen een algemeen oordeel van de 
Commissie over het recht van het desbetreffende land. In dit geval is dit 
anders. Het gegevensbeschermingsrecht van de VS is zodanig 
verschillend van inhoud en opbouw van dat van de EU dat een dergelijk 
oordeel niet mogelijk lijkt. Het gegevensbeschermingsrecht heeft in de VS 
alleen een grondrechtelijke inbedding voor zover het de publieke sector 
betreft, terwijl het gegevensbeschermingsrecht in de private sector per 
deelgebied verschillend is opgebouwd en bovendien deels in andere 
instrumenten dan algemeen verbindende voorschriften is vastgelegd. 
Daarnaast ontbreekt een onafhankelijke toezichthouder op de verwerking 
van persoonsgegevens met een algemene bevoegdheid. Het ontwerpbe¬ 
sluit reflecteert de structuur van het gegevensbeschermingsrecht van de 
VS. Het is daarom alleen een oordeel over de passendheid van het 
gegevensbeschermingsniveau voor zover de desbetreffende sectoren 
daarin zijn betrokken. Die betrokkenheid is weer afhankelijk van de 
bevoegdheid van de toezichthouders met wie de Commissie afspraken 
heeft gemaakt. Dit zijn de Federal Trade Commission (FTC) en het US 
Department of Transportation. In heel grove trekken geschetst is de FTC 
bevoegd voor het toezicht op «fair trade» met inbegrip van gegevensbe- 
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schermingsaspecten op de private sector, met uitzondering van de 
financiële sector, de luchtvaartsector en de telecommunicatiesector. De 
luchtvaartsector valt onder de bevoegdheid van het US Department of 
Transportation. De financiële sector en de telecommunicatiesector en 
enkele andere sectoren vallen niet onder het Shield. Ik wijs erop dat het 
Shield bedoeld is om de doorgifte van persoonsgegevens uit de private 
sector in de EU naar de private sector in de VS te faciliteren. Zou het 
Shield niet bestaan, dan zullen bedrijven die persoonsgegevens aan de 
onder het Shield ingeschreven bedrijven doorgeven andere rechtsgrond¬ 
slagen moeten gebruiken, zoals Binding Corporate Rules (BCR) (intern 
bindende bedrijfsvoorschriften vastgesteld op concernniveau) of door de 
Commissie goedgekeurde modelcontractsbepalingen (SCC's). Met het 
gebruik van deze instrumenten zijn doorgaans aanzienlijke kosten 
gemoeid. Die kosten zijn vooral voor het midden- en kleinbedrijf een 
relatief zware last. Het Shield kan niet worden gebruikt voor de doorgifte 
van gegevens uit de EU naar ontvangers uit de publieke sector in de VS. 

Het ontwerpbesluit bevat 129 overwegingen waarin de Commissie 
omstandig motiveert waarom de VS onder toepassing van de 
voorwaarden en beperkingen van het Shield kunnen worden aangemerkt 
als een derde land met een passend niveau van gegevensbescherming. 

De artikelen van het ontwerpbesluit merken de VS daadwerkelijk als een 
zodanig derde land aan en geven functionele reikwijdte van het begrip 
«doorgifte» aan. Belangrijk is de verplichting van de Commissie om de 
relevante ontwikkelingen in de VS continu te monitoren. Een jaar na de 
datum van inwerkingtreding wordt de eerste evaluatie gehouden. Die zal 
voortaan jaarlijks gezamenlijk plaatsvinden. Er is voorzien in de 
verplichting de resultaten daarvan aan het relevante Comité, bestaande 
uit vertegenwoordigers van de lidstaten, en aan het Europees Parlement 
mee te delen. Verder is voorzien in een opschortingsbevoegdheid voor de 
Commissie. 

Aan het ontwerpbesluit zijn zeven aanhangsels gehecht. Drie van die 
aanhangsels hebben zelf weer een aanhangsel. De meeste aanhangsels 
zijn «representations» (verklaringen en toezeggingen) van de bevoegde 
autoriteiten van de VS. Binnen 30 dagen na vaststelling van het besluit 
door de Commissie zal dit geheel van verklaringen in de VS in het Federal 
Register bekendgemaakt worden. Daardoor krijgen deze verklaringen een 
officieel karakter dat enigszins vergelijkbaar is met beleidsregels en 
richtlijnen in het Nederlands bestuursrecht. 

Inwerkingtreding van het besluit heeft als rechtsgevolg dat persoonsge¬ 
gevens met toepassing van de voorwaarden van het Shield zonder nadere 
garanties aan de bedrijven die zich onder het Shield hebben aangemeld 
kunnen worden doorgegeven. Het besluit laat alle andere rechtsgrond¬ 
slagen voor de doorgifte van persoonsgegevens naar de VS onverlet. Het 
staat niet in de weg aan een doorgifte krachtens goedgekeurde SCC's of 
met toepassing van BCR's of aan welke andere rechtsgrondslag krachtens 
de artikelen 25 en 26 van de richtlijn dan ook. 

Na inwerkingtreding van de Algemene verordening gegevensbe¬ 
scherming (hierna AVG) zal het besluit blijven gelden krachtens artikel 45, 
negende lid, van de AVG. 

Inhoud EU - US Privacy Shield 

De eigenlijke inhoud van het Shield is opgenomen in Annex II. Die inhoud 
bouwt in belangrijke mate voort op het Safe Harbour-arrangement. 
Daaraan zijn echter belangrijke formele en materiële verbeteringen 
toegevoegd. Formele verbeteringen zijn bereikt doordat de lijsten met 
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«Frequently Asked Questions» (FAQ's) uit het Safe Flarbour-arrangement 
zijn omgezet in «Supplemental Principles», beginselen die aanvullend 
werken ten opzichte van de algemene beginselen van het Shield. De 
onduidelijke status van de FAQ's behoort daarmee tot het verleden. Het 
normatief gehalte van het Shield neemt daardoor toe. Op de materiële 
verbeteringen kom ik hieronder nog te spreken. 

De hoofdbeginselen van het Safe Harbour-arrangement blijven 
ongewijzigd. Een bedrijf dat behoort tot een van de sectoren die wordt 
beheerst door de wetgeving waarvan de handhaving is opgedragen aan 
de FTC of het US Department of Transportation kan zich op basis van 
vrijwilligheid inschrijven bij het US Department of Commerce op de 
Privacy Shield website. Die inschrijving verplicht het bedrijf tot het 
naleven van zeven beginselen van gegevensbescherming. Het betreft: 

«Notice» (bekendmakingsplicht over het eigen privacybeleid dat aan 
gedetailleerde eisen moet voldoen); 

«Choice» (het op basis van opt out bieden van een keuzerecht aan 
betrokkenen over de verstrekking van gegevens aan derden of voor het 
gebruik van de gegevens voor een ander doel dan waarvoor ze zijn 
verzameld en het op basis van opt in bieden van dat keuzerecht waar het 
gevoelige gegevens betreft); 

«Accountability for Onward Transfer» (de doorwerking van de Notice en 
Choice-beginselen voor gevallen van verstrekking aan derden); 

«Security» (beveiligingsplicht); 

«Data Integrity and Purpose Limitation» (doelbinding en instaan voor 
volledigheid en juistheid van de gegevens); 

«Access» (rechten op inzage, verbetering en verwijdering van gegevens); 

«Recourse, Enforcement and Liability» (verplichting tot bieden snelle, 
toegankelijke en onafhankelijke geschilbeslechtingsprocedures, 
verplichting tot informatieverschaffing aan het Department of Commerce, 
medewerkingsplicht aan een arbitragesysteem indien het klachtmecha- 
nisme niet tot oplossingen leidt, aansprakelijkheid). 

Dit systeem wordt in de aanvullende beginselen overigens in vele details 
uitgewerkt. Het is niet goed mogelijk om daarvan in deze brief een 
volledig overzicht te geven. 

Dit systeem van zelfregulering wordt aangevuld met overheidstoezicht 
door de FTC. Dit toezicht kan worden ingeroepen door belanghebbenden, 
hetzij rechtstreeks via een klacht, hetzij via een toezichthouder in de EU, 
die de klacht doorgeeft aan de FTC. De FTC heeft de mogelijkheid tot het 
opleggen van bestuurlijke boetes of het initiëren van strafvervolging bij 
schendingen van het Shield. Schendingen van het Shield worden door de 
FTC aangemerkt als schendingen van de geldende handelswetgeving 
(«unfair trade practices»), 

De Commissie heeft in haar Mededeling van 29 november 2013 (COM 
(2013) 847) (Kamerstukken II 2013/14, 22 112, nr. 1777) een reeks aanbeve¬ 
lingen gedaan overeen verbetering van het toenmalige Safe Harbour- 
arrangement. Verreweg de meeste van deze aanbevelingen waren gericht 
op verduidelijking en verzwaring van de transparantieverplichtingen, op 
verbetering van de geschilbeslechtingsprocedures en op de handhaving 
van het aanmeldsysteem door het US Department of Commerce. De 
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materiële verbeteringen die het Shield biedt liggen hierin dat aan al deze 
aanbevelingen een bepaald gevolg is gegeven. Het komt erop neer dat het 
US Department of Commerce een aanmerkelijk striktere controle gaat 
uitvoeren op de juistheid en de actualiteit van de aanmeldingen - ook 
ambtshalve. Onjuiste of niet langer actuele beweringen van bedrijven 
over hun status onder het Shield worden gesanctioneerd. Verder zijn de 
voorwaarden voor verdere verwerking door derde partijen binnen de VS 
aangescherpt. Het hele systeem voor toezicht op de naleving en de 
handhaving is verstrekt. Ingeschreven bedrijven moeten klachten binnen 
45 dagen behandelen. Het bestaande systeem voor alternatieve geschilbe¬ 
slechting wordt kosteloos. Bij gevallen van onopgeloste klachten houden 
burgers uit de EU het recht bij de bevoegde toezichthouder een klacht in 
te dienen. Deze kan de zaak, afhankelijk van de aard van de klacht, 
aanmelden bij de FTC of het Department of Commerce. De FTC zal, 
hoewel daartoe krachtens de geldende wetgeving niet verplicht, deze 
klachten met voorrang in behandeling nemen. Als laatste optie voor de 
behandeling van onopgeloste klachten wordt een gezamenlijk Europees- 
Amerikaans «Privacy Shield Panel» opgericht. Dat panel kan een arbitraal 
vonnis vellen op grond van de Federal Arbitration Act. Dit is kosteloos 
afgezien van de kosten voor eventuele rechtsbijstand. Indien het arbitraal 
vonnis niet wordt gevolgd, is een procedure bij de federale rechter 
mogelijk. Een gang naar de rechter is ook zonder de tussenstap van 
arbitrage mogelijk. Kiest men ervoor naar de rechter te gaan dan zijn 
daaraan wel kosten verbonden. 

Bedrijven kunnen er ook voor kiezen om op vrijwillige basis samen te 
werken met de bevoegde Europese toezichthouder. Het komt erop neer 
dat men dan bij klachten van burgers een onderzoek door een Europese 
toezichthouder aanvaardt en ook betrokkenheid van die instantie bij de 
geschiloplossing accepteert. Dit impliceert ook dat men een advies van de 
toezichthouder over de oplossing van de klacht of het geschil in beginsel 
opvolgt. Indien het bedrijf of de klager zich hiermee niet verenigt kan 
behandeling van de klacht aan een panel van Europese toezichthouders 
worden voorgelegd. Deze oplossingen impliceren overigens een 
principiële keuze voor de toepassing van EU-recht. 

Toegang van de overheid tot doorgegeven gegevens 

Annex II, § 1.5, van het Shield formuleert dat binding aan de beginselen uit 
het Shield voor zoveel als noodzakelijk is («to the extent necessary») 
beperkt wordt als vereist is voor de nationale veiligheid, het openbaar 
belang en de rechtshandhaving. Het is deze beperking geweest die het 
Hof van Justitie van de EU (hierna: HvJEU) in de uitspraak van 6 oktober 
2015, C-362/14 (Schrems), ertoe bracht na te gaan of de Safe Harbourbe- 
schikking op die toegang wel voldoende beperkingen identificeerde en of 
daarbij wel voldoende waarborgen in acht genomen werden. Nu de 
Commissie daarbij in de eerdergenoemde Mededeling van 29 november 
2013 had geconstateerd dat daarbij vragen konden worden gesteld, leidde 
die vaststelling tot de ongeldigverklaring van het besluit. Daaraan werd 
door het HvJEU toegevoegd dat de bij de toegang in acht te nemen 
maatstaf «strictly necessary and proportionate» behoort te zijn en dat 
betrokkenen moeten beschikken over een administratieve of rechterlijke 
middelen om de rechten op inzage, verbetering of verwijdering uit te 
oefenen. Het lag daarom op de weg van de Commissie een dergelijk 
onderzoek uit te voeren en daaraan zonodig consequenties te verbinden. 

In de overwegingen van het ontwerpbesluit doet de Commissie verslag 
van dit onderzoek. Dit heeft geleid tot diverse verklaringen van de 
autoriteiten in de VS waarin wordt geschetst hoe die toegang is georgani¬ 
seerd en welke waarborgen daaraan zijn en worden verbonden. Die 
verklaringen betreffen de toegang van de autoriteiten in VS tot gegevens 
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die met toepassing van het Shield naar bedrijven in de VS zijn doorge¬ 
geven. Grondslagen in de wetgeving van de VS of mogelijkheden in de 
toepassingspraktijk om gegevens rechtstreeks in derde landen te vorderen 
of anderszins te verwerven vallen buiten de reikwijdte van het verrichte 
onderzoek. De onderlinge verstrekking van gegevens tussen autoriteiten 
in de EU en de VS zijn evenmin aan het onderzoek onderworpen. 

Rechtshandhaving 

Een afzonderlijke verklaring van het US Department of Justice (Annex VII) 
beschrijft de grondslagen die het Amerikaanse recht kent voor de toegang 
tot gegevens voor doeleinden verband houdend met de rechtshand¬ 
having. Deze verklaring noemt een aantal hoofdcategorieën. Gemeen¬ 
schappelijk kenmerk hiervan is dat deze bevoegdheden hetzij in opdracht 
van, hetzij onder toezicht van de rechter plaatsvinden in zaken met een 
strafrechtelijke achtergrond. Vorderingen tot het leveren van gegevens 
gericht tot individuen (of in de context van het Shield: bedrijven) kunnen 
blijkens de verklaring door de belanghebbende steeds worden aange¬ 
vochten voor de bevoegde rechter. 

Openbaar belang 

Tenslotte geeft de verklaring van het US Department of Justice aan dat 
diverse toezichthoudende instanties beschikken over bevoegdheden om 
gegevens te vorderen bij bedrijven. Als voorbeeld worden de toezicht¬ 
houders in financiële sector genoemd. Voor die gevallen moet steeds 
voorzien zijn in een wettelijke grondslag voor de vorderingsbevoegdheid 
en in toezicht door de rechter. Vorderingen kunnen door de belangheb¬ 
bende bedrijven ook worden aangevochten. 

Nationale veiligheid 

De toegang tot gegevens wordt voor zover het gaat om «signals intelli- 
gence» (langs elektronische weg verworven inlichtingen) blijkens een 
omvangrijke verklaring van de General Counsel van het Office of the 
Director of National Intelligence (Annex VI) beheerst door het Presidential 
Policy Directive 28 (hierna: PPD 28), vastgesteld door de President op 
17 januari 2014. PPD 28 bevat algemene beleidsuitgangspunten die bij de 
uitoefening van wettelijke bevoegdheden tot het vergaren van persoons¬ 
gegevens in acht moeten worden genomen. Daarbij hoort dat de VS 
alleen persoonsgegevens verzamelen op een geldende rechtsgrondslag, 
met inachtneming van de beginselen van gegevensbescherming en 
burgerlijke vrijheden en voor rechtmatig vastgestelde doeleinden. 
Persoonsgegevens worden niet verzameld met het doel om kritiek of 
afwijkende meningen te onderdrukken of individuen te benadelen 
vanwege etniciteit, geslacht, seksuele oriëntatie of godsdienstige 
overtuiging. Er wordt ook geen onderscheid gemaakt in gegevens die wel 
en die niet betrekking hebben op Amerikaanse burgers. Evenmin, zo 
verklaart PPD 28, worden de bevoegdheden gebruikt ter bevordering van 
mededingingsvoordelen voor ondernemingen of sectoren van het 
Amerikaans bedrijfsleven. 

Kern van de zaak is dat de vergaring van persoonsgegevens altijd 
plaatsvindt volgens de maatstaf «tailored as feasible». Dit betekent dat 
wanneer verzameling van persoonsgegevens plaatsvindt doelgerichte 
verzameling de voorkeur geniet boven verzameling in bulk. Dat betreft 
zowel de wijze van verzameling als de aard van de gegevens. Bij de keuze 
van de vormen van verzameling moet een afweging worden gemaakt 
tussen verschillende methoden. Bij de gegevens die het betreft moeten 
methoden worden toegepast als doelgerichte zoektermen. Ondanks deze 
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prioriteitsstelling kan verzameling van gegevens in bulk niet geheel 
worden gemist. Men verklaart echter bij die vergaringsmethode ook 
steeds gebonden te zijn aan de maatstaf «reasonableness». Volgens de 
verklaring impliceert dit een belangenafweging tussen doeleinden 
enerzijds en privacy en burgerlijke vrijheden anderzijds. Die doeleinden 
zijn beperkt tot: bedreigende activiteiten van vreemde mogendheden, 
bestrijding van terrorisme, maatregelen tegen proliferatie, cybersecurity, 
bedreigingen gericht tegen de eigen en bondgenootschappelijke 
krijgsmachten en de bestrijding van grensoverschrijdende criminaliteit, 
met inbegrip van het ontduiken van internationale sanctiemaatregelen. 

Het systeem wordt meer in detail beperkt door bepaalde planningsme¬ 
thoden uiteengezet in de verklaring. Toezicht is primair intern georgani¬ 
seerd en vindt plaats via «compliance officers» en een wettelijke geregu¬ 
leerde Inspector General die elke dienst heeft. Deze functionaris adviseert 
en rapporteert in het openbaar aan het Congres. Een aanvullende vorm 
van toezicht die achteraf werkt is de onafhankelijke Privacy and Civil 
Liberties Oversight Board (PCLOB). Goedkeuring voor de toepassing van 
bepaalde bevoegdheden moet worden verkregen van het Foreign 
Intelligence Surveillance Court (FISC), een hof samengesteld uit federale 
rechters. Daarnaast is er een stelsel van politieke controle op de 
inlichtingendiensten. 

De verzameling van persoonsgegevens vindt blijkens de verklaringen 
doorgaans plaats op grond van Section 702 van de Foreign Intelligences 
Surveillance Act (FISA). Kern van de verklaring is dat de vergaring van 
inlichtingen plaatsvindt met toepassing van «targeting» en «minimi- 
zation» procedures. Verzameling in bulk vindt niet met toepassing van 
Section 702 plaats. Dit alles wordt getoetst door het FISC. De algemene 
beginselen van PPD 28 zijn daarop van toepassing. Het hierboven 
beschreven stelsel van privacywaarborgen eveneens. Een andere 
grondslag voor inlichtingenvergaring is de USA FREEDOM Act, vastge¬ 
steld in 2015 met het doel meer waarborgen voor de bescherming van de 
persoonlijke levenssfeer te bieden. Deze wet verbiedt de vergaring van 
verkeersgegevens verzameld door de telecommunicatiesector in bulk 
door de diverse autoriteiten. Blijkens de verklaringen moet de toepassing 
van de bevoegdheden door de autoriteiten op grond van de USA 
FREEDOM Act zo specifiek mogelijk plaatsvinden. De wet heeft ook de 
procedurele waarborgen voor het FISC verruimd door de mogelijkheid 
van amicus curiae brieven of hoorzittingen open te stellen voor, onder 
meer, behartigers van privacybelangen. 

Daarnaast bieden de verklaringen nog inzicht in een groot aantal zeer 
uiteenlopende transparantieverplichtingen van overheid en bedrijfsleven. 
Ik meld hier in het bijzonder dat voorzien is in de mogelijkheid dat 
bedrijven mogen rapporteren over het aantal vorderingen tot het 
verstrekken van gegevens, al is dit door het hanteren van een afrondings- 
factor beperkt tot een geaggregeerd niveau. 

Ombudspersoon 

De toepassing van bevoegdheden tot het vorderen van gegevens voor 
doeleinden verband houdend met de nationale veiligheid voorziet blijkens 
de verklaringen in de Annexen VI en VII in veel gevallen in een vorm van 
rechtsbescherming in de VS voor het bedrijf dat in de VS de desbetref¬ 
fende gegevens heeft ontvangen krachtens het Shield. Aan de persoon op 
wie de gegevens betrekking heeft komt alleen dezelfde mate van 
rechtsbescherming toe wanneer voldaan kan worden aan het vereiste van 
belanghebbendheid. Dit kan bij de toepassing van sommige wetten 
problematisch zijn. Wanneer niet expliciet rechtsbescherming is openge¬ 
steld zonder onderscheid naar nationaliteit, stuit toegang tot de rechter 
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soms af op de vaste uitleg van het Vierde Amendement van de Ameri¬ 
kaanse Grondwet dat in de jurisprudentie en de praktijk zodanig wordt 
uitgelegd dat het de rechten beschermt van Amerikaanse burgers en 
degenen die rechtmatig hoofdverblijf houden in de VS. Om in een vorm 
van aanvullende rechtsbescherming te voorzien biedt de Amerikaanse 
regering de instelling van een Ombudspersoon aan (Annex III, verklaring 
van de Secretary of State). Die Ombudspersoon kan klachten op indivi¬ 
dueel niveau van betrokkenen in behandeling nemen, zonder onderscheid 
naar nationaliteit. De Ombudspersoon die zal worden ondergebracht bij 
het US Department of State kan na contact met de desbetreffende dienst 
beoordelen of de toepassing van de bevoegdheid waarover wordt 
geklaagd in overeenstemming plaatsvond met de geldende regelgeving 
en de wijze waarop die in Annex VI uiteengezet is. De Ombudspersoon is 
onafhankelijk van de inlichtingen- en veiligheidsdiensten. Toegang tot de 
Ombudspersoon is indirect. Net als bij het verdrag tussen de EU en de VS 
inzake het Terrorist Finance Tracking System vindt een voorafgaande toets 
plaats door een instantie in de lidstaat die moet beoordelen of de klacht 
voldoet aan de formele vereisten van de Annex. Wat Nederland betreft is 
middeling door een nog nader aan te wijzen overheidsorgaan nodig. 

Belangrijk is dat besloten is het klachtrecht niet te beperken tot de 
toegang door de autoriteiten tot gegevens die krachtens het Shield zijn 
doorgegeven, maar ook krachtens de SCC's, BCR's of andere afwijkingen 
van de regel dat doorgifte alleen mag plaatsvinden naar staten ten 
aanzien waarvan een toereikendheidsoordeel is gegeven. Dat betreft ook 
afwijkingen op grond van de komende Algemene verordening 
gegevensbescherming. 

Evaluatie, opschorting of intrekking 

Een belangrijk onderdeel van het Shield is dat jaarlijks een evaluatie 
plaatsvindt. Die evaluatie vindt plaats met betrokkenheid van Europese 
toezichthouders en de Amerikaanse Ombudspersoon. Belanghebbenden 
uit het bedrijfsleven en van niet gouvernementele organisaties zullen door 
de Commissie op conferenties worden gehoord. Als het nodig is kan de 
Commissie de werking van de beschikking opschorten of desnoods 
intrekken. De Verenigde Staten zouden in theorie ook hun binding aan de 
verklaringen kunnen beëindigen. Het besluit wordt dan inhoudsloos. 
Intrekking wordt dan onvermijdelijk. 

Advies Artikel 29 Werkgroep 

De WP 29 (een onafhankelijke werkgroep bestaande uit vertegenwoor¬ 
digers van de gegevensbeschermingstoezichthouders van de lidstaten, de 
Europees Toezichthouder voor Gegevensbescherming en de Commissie) 
heeft op 13 april 2016 zijn advies op het ontwerpbesluit vastgesteld 
(Opinion 01/2016 on the EU-US Privacy Shield draft adequacy decision 
WP 238). Gelijktijdig heeft WP 29 een document over essentiële Europese 
waarborgen voor de privacy en de bescherming van persoonsgegevens 
die in acht zouden moeten worden genomen wanneer met «surveillance 
measures» inbreuken op persoonsgegevens gemaakt die het voorwerp 
van doorgifte aan derde landen zijn ( Working Document 01/2016 on the 
justification of interferences with the fundamental right to privacy and 
data protection through surveillance measures when transferring personal 
data, WP 237). WP 29 heeft een advies opgesteld dat in vier onderdelen te 
onderscheiden valt. 

Het eerste onderdeel bevat enkele algemene opmerkingen. WP 29 
verwelkomt de belangrijke inhoudelijke verbeteringen die het Shield ten 
opzichte van het Safe Harbour-arrangement brengt. WP 29 heeft echter 
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kritiek op de ingewikkelde structuur van het Shield. Omdat de uitgangs¬ 
punten en waarborgen deels in het ontwerpbesluit en deels in de 
aanhangsels staan, zou de nodige informatie moeilijk te vinden zijn en op 
onderdelen ook innerlijk inconsistent. WP 29 wijst op de noodzaak om een 
met het geldend en komend EU-recht consistent Shield op te stellen. Bij 
inwerkingtreding van de AVG zou daarom een evaluatie moeten worden 
gehouden. 

Het tweede onderdeel gaat in op de inhoudelijke aspecten van het Shield. 
WP 29 meent dat uit het «Data Integrity and Purpose Limitation Principle» 
onvoldoende duidelijk af te leiden valt of er een begrenzing aan het 
bewaren van gegevens bestaat en dat dit beginsel ook overigens 
onvoldoende bepaald is. Verder mist men een behandeling van de 
rechtsgevolgen van het nemen van geheel geautomatiseerde beslis¬ 
singen. Ook acht WP 29 dat bij de gevolgen van verdere doorgifte uit de 
VS naar andere derde landen onvoldoende verzekerd is dat het bescher¬ 
mingsniveau van het Shield behouden blijft. Het stelsel van rechtsbe¬ 
scherming en geschiloplossing beoordeelt men als mogelijk te 
ingewikkeld in de praktijk. 

Het derde onderdeel betreft de toegang van de overheid van de VS tot de 
doorgegeven gegevens om doeleinden die verband houden met de 
rechtshandhaving, andere openbare belangen en de nationale veiligheid. 
De afgelegde verklaringen van de autoriteiten van de VS beoordeelt 
WP 29 op zichzelf genomen als positief. Wat betreft de toegang voor 
doeleinden verband houdend met de rechtshandhaving en andere 
openbare belangen oordeelt men de uitleg van wettelijke grondslagen in 
Annex VII nogal beperkt in verhouding tot de complexiteit van de materie, 
het toezicht acht men voldoende robuust, maar men oordeelt de geboden 
rechtsbescherming onvoldoende, omdat de Judicial Redress Act- die 
regelt dat burgers van de lidstaten in hun hoedanigheid van betrokkenen 
in het gegevensbeschermingsrecht in rechte verhaal kunnen halen in de 
VS - geen einde maakt aan de situatie dat niet-Amerikanen zich niet 
rechtstreeks in rechte kunnen verzetten tegen bevelen tot het vorderen 
van gegevens. Wat betreft de toegang tot de doorgegeven gegevens voor 
doeleinden verband houdend met de nationale veiligheid is het oordeel 
negatief. WP 29 acht de mogelijkheid tot het massaal en ongericht 
verzamelen van gegevens van individuele burgers nooit proportioneel en 
strikt noodzakelijk in een democratische samenleving zoals de toepasse¬ 
lijke grondrechten vereisen. Alomvattend toezicht daarop acht WP 29 ook 
een vereiste. Wat de rechtsbescherming betreft vreest WP 29 dat de 
Ombudspersoon niet voldoende onafhankelijk is en niet over toereikende 
bevoegdheden beschikt om effectief toezicht te kunnen houden. 

Het vierde onderdeel betreft de periodieke evaluatie, waaraan ook de 
nationale toezichthouders zullen deelnemen. Hierover is WP 29 in grote 
lijnen positief. Wel acht men het nodig de voorwaarden waaronder de 
evaluatie zal plaatsvinden, en de gevolgen die daaraan kunnen worden 
verbonden te verhelderen. 

Dit waardevolle en op onderdelen ook wel kritische advies zal ik in mijn 
beoordeling betrekken voor zover het de hoofdlijnen betreft. 

Beoordeling 

Vergeleken met andere toereikendheidsoordelen op grond van artikel 25, 
zesde lid, van de richtlijn blijft het Shield, net als het Safe Harbour- 
arrangement, een bijzondere constructie. Het Shield is geen algemeen 
oordeel over de toereikendheid van het niveau van gegevensbescherming 
in de VS als geheel. De reikwijdte van het Shield is beperkt tot bedrijven 
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uit een aantal sectoren voor zover die zich bereid hebben verklaard het 
Shield te aanvaarden. In de VS bestaat geen algemeen bevoegde 
toezichthouder die specifiek is belast met het toezicht op de bescherming 
van persoonsgegevens. Deze omstandigheden zijn bij de onderhande- 
lingen over het Shield door de Commissie als uitgangspunt gehanteerd. 
Men heeft moeten vaststellen dat het voor de VS geen optie was 
veranderingen in de wetgeving aan te brengen. Het Shield is daarom een 
systeem dat enerzijds zoveel mogelijk moet faciliteren dat gegevens die 
uit de EU afkomstig zijn zoveel mogelijk onderworpen blijven aan het 
beschermingsniveau van de EU en anderzijds ook voldoende verenigbaar 
zijn met het fundamenteel andere stelsel van gegevensbeschermingsrecht 
dat in de VS bestaat. De uitspraak van het HvJEU geeft in rechtsover¬ 
weging 81 in beginsel voldoende ruimte voor een toereikendheidsoordeel 
dat in de kern berust op zelfregulering, aangevuld met toezicht van 
overheidswege. 

De opmerkingen in het advies van WP 29 over de structuur van het Shield, 
over de interne consistentie en de consistentie van het Shield met 
geldend en komend EU-recht lijken mij op zichzelf genomen terecht. De 
structuur van het Shield is ingewikkeld, al zie ik ook verbeteringen in de 
voorgestelde structuur ten opzichte van het Safe Harbour-arrangement. 

Uit die structuur vloeien nadelen voort die tot op zekere hoogte onvermij¬ 
delijk zijn. De opmerkingen van WP 29 over het consistent gebruik van de 
terminologie en het uitleggen van Amerikaansrechtelijke begrippen die 
afwijken van het EU-recht moet de Commissie ter harte nemen. Ik ga 
ervan uit dat de Commissie dit eigener beweging doet. Wat de 
samenhang tussen het Shield en de AVG betreft, is het voor de hand 
liggend dat de eerste evaluatie van het Shield de beste gelegenheid is 
voor een toets aan de AVG. De eerste evaluatie vindt blijkens artikel 4, 
vierde lid, van het ontwerpbesluit een jaar na de datum van bekend¬ 
making van het besluit plaats. 

Waar het gaat om het geven van opvolging aan de aanbevelingen van de 
Commissie uit november 2013 ben ik van oordeel dat de aanbevelingen 
met betrekking tot transparantie, toezicht op de naleving, handhaving, 
geschilbeslechting en aansprakelijkheid belangrijke verbeteringen van het 
stelsel van Safe Harbour zijn bereikt, terwijl tegelijkertijd het goede dat dit 
stelsel te bieden had behouden is gebleven. Dat draagt naar mijn mening 
bij aan een oordeel dat de VS voor de doorgiften die beheerst worden 
door het Shield een voldoende toereikend niveau van bescherming 
kunnen bieden. 

Ik zie in elk geval een belangrijke verbetering in de nieuwe inspanningen 
die het US Department of Commerce op zich heeft genomen om in het 
vervolg een actieve rol te vervullen bij de inschrijving van bedrijven en het 
actueel houden van de inschrijvingen, alsmede op het actueel houden van 
de afgelegde privacyverklaringen door bedrijven. Eveneens merk ik als 
verbetering aan dat bedrijven door middel van een getrapt verlopend 
stelsel van klachtbehandeling verplicht worden om klachten van burgers 
op serieuze wijze te behandelen. De mogelijkheid om daarvoor uiteindelijk 
via arbitrage een oplossing te vinden waarborgt dat een neutrale en 
betaalbare wijze van klachtbehandeling kan plaatsvinden. Ik zie in het 
bijzonder in de mogelijkheid om de afdoening van klachten met betrok¬ 
kenheid van Europese toezichthouders en met toepassing van EU-recht 
een grote stap voorwaarts. Verbetering zie ook in de toezegging van de 
Federal Trade Commission om de handhavingsinspanningen op een 
verder verhoogd niveau te brengen. 

Er blijven verschillen bestaan tussen het Amerikaanse en het Europese 
recht. Gegevensbescherming wordt in het Amerikaanse recht niet als een 
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grondrecht aangemerkt, althans voor zover het betreft de private sector. 
Het toezicht en de rechtsbescherming zijn anders opgezet dan in de EU. 
Dat werkt door in de materiële normen. Die verschillen op onderdelen van 
het EU-recht. Met name het «Choice»-beginsel biedt bedrijven meer 
ruimte in hun verhouding tot consumenten dan in de EU het geval is. Dat 
betreft vooral het gebruik van gegevens voor andere doelen dan die 
waarvoor ze oorspronkelijk zijn verzameld, zoals direct marketing¬ 
doeleinden. Die verschillen zullen moeten worden aanvaard. Zij maakten 
deel uit van het Safe Harbour-arrangement en blijven onder het Shield 
bestaan. Het Europees bedrijfsleven is zich van dit verschil in concurren¬ 
tiepositie bewust, is mij gebleken. Het bedrijfsleven blijkt echter zeer veel 
waarde te hechten aan de beëindiging van de rechtsonzekerheid die 
begonnen is met de ongeldigverklaring van het Safe Harbour- 
arrangement. 

WP 29 heeft in zijn advies gewezen op verschillende onduidelijkheden in 
de betekenis van het «Data Integrity and Purpose Limitation Principle». Ik 
wil hier niet inhoudelijk ingaan op de concrete uitleg van begrippen van 
het Shield omdat dit bij uitstek een taak van de toezichthouders en de 
rechter is. Ik wijs er slechts op dat Annex II van het Shield een weergave is 
van Amerikaans recht, en niet van EU-recht en dat uit het Hofarrest niet 
voortvloeit dat Amerikaans recht letterlijk gelijk moet zijn aan EU-recht. 

Als er verschillen zijn is het zinvol die verschillen niet te verzwijgen, maar 
juist te verduidelijken. WP 29 beveelt daartoe aan in een verklarende 
woordenlijst te voorzien. Mogelijk kan de Commissie daarin voorzien op 
een wijze die niet leidt tot vergroting van het aantal documenten. Wat de 
opmerkingen van WP 29 betreft over verdere doorgifte, heeft de 
Commissie er juist in de afgelopen jaren herhaalde malen op gewezen dat 
dit voor haar een van de belangrijkste punten betrof. De gedachte is altijd 
geweest dat persoonsgegevens afkomstig uit de EU gedurende en na de 
doorgifte aan de VS niet aan een duidelijk lager beschermingsniveau 
zouden worden blootgesteld teneinde omzeiling van het niveau van het 
EU-recht te voorkomen. De inspanningen van de Commissie zijn naar mijn 
oordeel duidelijk zichtbaar in het Shield. De voorwaarden waaronder 
«onward transfer» gerechtvaardigd is, zijn in vergelijking met het Safe 
Harbour-arrangement duidelijk verzwaard. Kern daarvan is dat de partij 
die onder het Shield is ingeschreven aansprakelijk blijft voor handhaving 
van het beschermingsniveau dat het Shield biedt bij en na een verdere 
doorgifte (§ 1.3 van Annex II). Dit impliceert mijns inziens dat een partij 
zich ook een algemeen beeld moet vormen van het gegevensbescher- 
mingsniveau van een derde land en waar nodig en mogelijk aanvullende 
waarborgen moet treffen. Ik acht dit een zinvolle uitbreiding van het 
beschermingsniveau en deel de kritiek van WP 29 dan ook niet zonder 
meer. Waar WP 29 opmerkt dat het mechanisme voor rechtsbescherming 
en geschilbeslechting ingewikkeld is, kan ik dit beamen. Aan verduide¬ 
lijking van structuur en mogelijkheden van het stelsel wordt inmiddels iets 
gedaan. De Commissie zal een flowchart maken die de werking verduide¬ 
lijkt. Dat het stelsel daardoor in de praktijk niet effectief zou zijn, zoals 
WP 29 stelt, is een oordeel dat zonder dat daar ervaring mee is opgedaan 
niet kan worden onderschreven. Die ervaring is tot dusverre zeer beperkt. 
Blijkens mededelingen van de Amerikaanse autoriteiten zijn er in de 
afgelopen 15 jaar onder het Safe Harbour-arrangement slechts vijf 
klachten in het geschillenmechanisme behandeld. Wat ik belangrijk vind, 
is dat het stelsel is uitgebreid op een wijze die EU-burgers meer keuzes 
biedt. 

Wat de bevoegdheden van de Amerikaanse overheid betreft tot de 
gegevens die onder het Shield zijn doorgegeven stel ik in de eerste plaats 
vast dat de VS in veel sterkere mate dan voorheen het geval was bereid 
zijn gebleken uit te leggen in welke gevallen toegang tot doorgegevens 
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gegevens kan worden verkregen, op welke grondslagen dit plaatsvindt en 
welke waarborgen daarbij in acht moeten worden genomen. Uit de 
verklaringen van de verschillende autoriteiten blijkt dat de desbetreffende 
bevoegdheden in de VS, anders dan wel wordt beweerd, wel degelijk zijn 
omgeven met voorzieningen gericht op het individualiseren en verengen 
van vorderingen. Ook kan in zijn algemeenheid niet worden beweerd dat 
bewaking van het privacyaspect bij toepassing niet of nauwelijks met 
waarborgen zou zijn omringd. Die waarborgen zijn er wel, al kennen de 
VS geen waarborgen in de vorm van onafhankelijke toezichthouders op 
gegevensbescherming naar Europees model. Het is ook niet zo dat er 
geen rechtsbescherming denkbaar is tegen de toepassing van de 
bevoegdheden. Ook die bestaat, al is die zeer divers opgezet en niet 
overal gelijkelijk toegankelijk voor eenieder onafhankelijk van hoeda¬ 
nigheid of belang. 

Ik deel het algemene oordeel van WP 29 dat de uitgebreide verklaringen 
van de Amerikaanse autoriteiten tot verduidelijking van de bestaande 
grondslagen om toegang tot doorgegeven gegevens te verkrijgen voor 
doeleinden van de rechtshandhaving, andere openbare belangen of de 
nationale veiligheid sterk bijdragen aan transparantie van het rechtsstelsel 
in de VS en dat dit een betekenisvolle verbetering is ten opzichte van het 
Safe Harbour-arrangement. 

Waar het gaat om toegang van de Amerikaanse overheid tot doorgegeven 
persoonsgegevens voor doeleinden die verband houden met de rechts¬ 
handhaving of om andere redenen van openbaar belang ben ik van 
mening dat uit de toezeggingen van het US Department of Justice 
(Annex VII) voortvloeit dat die toegang in voldoende mate op wet is 
gebaseerd. Bovendien zijn de bevoegdheden onderworpen aan verschil¬ 
lende soorten beleidsregels. Veelal geeft een voorafgaand oordeel van de 
rechter een aanvullende waarborg bij uitoefening van de bevoegdheden. 
Tegen een rechterlijk bevel is doorgaans een hogere voorziening mogelijk. 
Het betreft hier overigens steeds strafzaken of bestuursrechtelijke 
handhavingskwesties. In dit type zaken zullen in de regel alleen op het 
concrete geval gerichte vorderingen tot het leveren van gegevens worden 
gedaan. 

WP 29 stelt in haar advies dat de wettelijke grondslagen voor de toegang 
tot gegevens voor doeleinden verband houdend met de rechtshandhaving 
en andere redenen van openbaar belang te weinig bestaan uit een min of 
meer volledige opsomming van die grondslagen en zich teveel concen¬ 
treren op een beschrijving van de te volgen procedures. WP 29 meent 
onder verwijzing naar de uitspraak van het HvJEU in de dataretentiezaak 
(zaken C-293/12 en C-594/12) dan ook dat daardoor onvoldoende duidelijk 
is of noodzaak en proportionaliteit wel afdoende toetsbaar is, omdat dit 
niet goed mogelijk is wanneer die opsomming niet wordt gegeven. 

Hoewel het op het eerste gezicht niet onjuist lijkt dat Annex VII op 
onderdelen verschillende impliciete verwijzingen naar andere grond¬ 
slagen bevat dan de grondslagen die wel expliciet zijn genoemd, kan ik 
niet beoordelen of Annex VII onvolledig is. Dat is zonder grondige kennis 
van het Amerikaanse systeem bovendien niet eenvoudig te beoordelen. Ik 
lees Annex VII zo dat de Amerikaanse overheid wil verduidelijken dat het 
Vierde Amendement van de Amerikaanse Grondwet rechtstreeks eist dat 
onmiddellijke ingrepen van de overheid in het huisrecht en het bezit van 
burgers, en ook over de zeggenschap over informatie, alleen zijn 
toegestaan als aan fundamentele procedurele waarborgen is voldaan, 
waaronder in elk geval voorafgaande beoordeling door een rechter. 
Inmenging in het recht dat in de EU als het grondrecht op bescherming 
van persoonsgegevens wordt aangemerkt van andere aard, zoals 
bijvoorbeeld de vordering van gegevens over de betrokkene bij een derde, 
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moeten krachtens genoemd Amendement tenminste voldoen aan de eis 
van «reasonableness», zo lees ik Annex VII. De grondslag voor dergelijke 
ingrepen, zo lees ik Annex VII, is te vinden in zeer uiteenlopende wettelijke 
voorschriften of federaal strafprocesrecht. Ik acht het bovendien niet 
buiten twijfel dat de eisen die het HvJEU in dit opzicht aan EU-recht stelt, 
zonder meer ook aan het recht van een derde land mogen worden 
tegengeworpen. «Essentially equivalent» betekent immers niet dat aan 
een derde land exact dezelfde maatstaven worden opgelegd als aan de 
Unie, maar dat het beschermingsniveau in essentie gelijkwaardig moet 
zijn. Er is ruimte voor een eigen invulling en ook voor een onderhande- 
lingsmarge voor de Commissie. Die ruimte kan ook hierin bestaan dat 
men een meer procedureel georiënteerd recht op zijn eigen merites heeft 
beoordeeld en aanvaardt. Ik kan de Commissie in dit opzicht volgen. De 
rechtsbescherming tegen de desbetreffende bevoegdheden oordeelt 
WP 29 onvoldoende, onder meer omdat de het Vierde Amendement van 
de Amerikaanse Grondwet zodanig wordt uitgelegd dat de rechtsbe¬ 
scherming slechts kan worden ingeroepen door burgers van de VS en 
personen van andere nationaliteit die rechtmatig hoofdverblijf in de VS 
houden. Ik onthoud mij van een oordeel over de Grondwet van een derde 
land. Ik wijs er echter op dat de onderhandelingen plaatsvonden onder de 
vooronderstelling dat inzet van de onderhandelingen niet bestaat uit 
wijziging in de wetgeving van de VS. Wel is het zo dat met de totstand¬ 
koming van de Judicial Redress Act burgers van aangewezen staten hun 
rechten als betrokkene geldend zullen kunnen maken voor de Ameri¬ 
kaanse rechter. Deze stap staat formeel weliswaar los van het Shield, 
maar is daar wel nauw aan verbonden. Ik zie dit als een grote stap vooruit. 
Verder heb ik van de Amerikaanse autoriteiten begrepen dat ook al is er 
voor een EU-burger die geen hoofdverblijf in de VS houdt geen directe 
rechtsmiddel beschikbaar tegen vorderingen tot het leveren van gegevens 
die op hem betrekking hebben of die tot hem zijn gericht, het inroepen 
van bescherming op grond van andere wetgeving in de VS, zoals het 
equivalent van de openbaarheidswetgeving of een actie uit onrechtmatige 
overheidsdaad niet uitsluit. 

De toegang van de autoriteiten van de VS tot de doorgegeven persoons¬ 
gegevens voor doeleinden verband houdend met de nationale veiligheid 
toont een uiteenlopend beeld. Ik acht het voldoende duidelijk dat met 
PPD 28 belangrijke hervormingen van het wettelijk stelsel voor het 
verzamelen van gegevens ten behoeve van de nationale veiligheid in 
gang zijn gezet. Die hervormingen leiden ertoe dat in elk geval op abstract 
niveau de veiligheidsbehoeften en de waarborgen voor de bescherming 
van de persoonlijke levenssfeer opnieuw tegen elkaar zijn afgewogen. Het 
is ook voldoende duidelijk dat het belang van de bescherming van de 
persoonlijke levenssfeer daarbij meer gewicht heeft gekregen. Waar het 
aankomt op de toepassing van concreet genoemde Section 702 FISA en 
de USA FREEDOM Act ben ik voldoende overtuigd door de verklaring dat 
de bevoegdheidsuitoefening als hoofdregel gericht plaatsvindt aan de 
hand van concrete zoekcriteria of persoonsgericht onderzoek. Er is sprake 
van voorafgaande toestemming door een rechter. De procedure vindt in 
camera en ex parte plaats, maar een recente aanpassing van het 
procesrecht voorziet in de mogelijkheid van aanstelling van een onafhan¬ 
kelijk raadsman die in zaken die zich daar volgens het FISC toe lenen 
advies te geven over de privacyaspecten van de zaak. Deze waarborg 
wordt aangevuld met andere waarborgen, vooral in de vorm van intern 
toezicht op de uitoefening van de bevoegdheid nadat de rechter de 
vordering heeft toegewezen. 

Het is mij niet ontgaan dat PPD 28 de mogelijkheid openhoudt voor 
gegevensvergaring in bulk. Daarbij geldt wel dat dit niet de eerste optie is 
en dat de gegevens na verzameling aan de hand van goedgekeurde 
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criteria moeten worden beoordeeld. Ik wijs gegevensvergaring in bulk niet 
principieel van de hand om de enkele reden dat dit type vergaring 
plaatsvindt zonder onderscheid van personen. Ik acht gegevensvergaring 
in bulk een verantwoord middel voor de bescherming van de nationale 
veiligheid, indien er een noodzaak is dit middel in te zetten om gebeurte¬ 
nissen als terroristische aanslagen en grote cyberaanvallen tegen te gaan. 
Naast een adequate toetsing van noodzakelijkheid en proportionaliteit van 
inzet van dit middel moeten daarbij dan wel de vereiste waarborgen voor 
de bescherming van de persoonlijke levenssfeer worden getroffen op een 
wijze die in essentie een gelijkwaardig beschermingsniveau bieden als in 
de EU geboden wordt. Ik ben mede tot dat oordeel gekomen, omdat de 
Europese wetgever met het politiek akkoord op de PNR-richtlijn immers 
ook een dergelijk systeem heeft aanvaard. Waar het dus op neerkomt is 
dat de verzamelde gegevens verder worden verwerkt op een wijze die met 
de nodige waarborgen is omringd. Deze waarborgen zijn opgesomd in 
Annex VI. De doeleinden waarvoor gegevensvergaring in bulk mag 
plaatsvinden zijn in elk geval voor een belangrijk deel herkenbaar en 
verwant aan de taken op grond waarvan de relevante Nederlandse 
wetgeving bevoegdheden toekent tot inmenging in het grondrecht van de 
bescherming van de persoonlijke levenssfeer voor doeleinden verband 
houdend met de nationale veiligheid. Ik ben ook van oordeel dat met de 
bekendmaking van PPD 28 en de diverse bronnen waarnaar in PPD 28 en 
Annex VI wordt verwezen een redelijk beeld wordt gegeven van de 
wettelijke en administratieve grondslagen voor die inmenging. Er zijn 
verschillende beperkingen bij de uitvoering weergegeven. Zo wordt de 
lijst van doeleinden jaarlijks opnieuw beoordeeld, en voor zoveel mogelijk 
ook openbaar gemaakt. 

Gebruik van dit middel vindt plaats nadat de keuze daarvoor is beoordeeld 
op een hoger niveau binnen de administratie en waarbij expliciet de vraag 
aan de orde komt welke inbreuk op de bescherming van de persoonlijke 
levenssfeer met het voorgestelde middel gemoeid is. Er zijn verplich¬ 
tingen vastgesteld om de vergaarde gegevens zoveel mogelijk aan de 
hand van concrete selectiecriteria als beoogde doelen (personen, 
groepen, telefoonnummers, plaatsen etc.) of onderwerpen (zoals 
proliferatie van massavernietigingswapens) te doorzoeken. Die beper¬ 
kingen gelden ongeacht de nationaliteit of woonplaats van de betrokken 
personen. De interne toegang tot de gegevens is binnen de betrokken 
diensten verder beperkt. Ook bij de vergaring van gegevens in bulk is in 
intern toezicht in de vorm van een Inspector General en de PCLOB 
voorzien. Ik kan mij voorstellen dat deze voorzieningen de Commissie 
voldoende grond geven voor het oordeel dat bij deze gegevensvergaring 
aan de maatstaf «necessary and proportionate» die zij voor ogen had. 

Zie ik het goed, dan kiest WP 29 voor een benadering die principieel 
anders is dan de bovengeschetste benadering. WP 29 wijst elke vorm van 
het massaal en ongericht verzamelen van gegevens van burgers van de 
hand, ongeacht of die verzameling onderworpen is aan waarborgen ter 
bescherming van de persoonlijke levenssfeer. Een onderscheid tussen 
verzamelen en gebruiken van gegevens en het koppelen van verschillende 
waarborgen aan de onderscheiden fasen van gegevensverwerking, zoals 
hierboven is weergegeven wijst WP 29 daarom eveneens van de hand. Ik 
respecteer dit standpunt, maar deel het niet. Ik ben van oordeel dat het 
wel zinvol kan zijn om de afweging tussen privacy en veiligheid 
verschillend te laten plaatsvinden al naar gelang het betreft het verza¬ 
melen, bewaren, gebruiken, verstrekken, doorgeven of vernietigen van 
gegevens. Op die afweging zijn tal van omstandigheden van invloed, 
zoals de aard van de gegevens, het aantal en de hoedanigheid van de 
betrokkenen, de bewaartermijnen, het mogelijk anonimiseren of pseudo- 
nimiseren van gegevens, de aard van partijen aan wie gegevens worden 
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verstrekt of doorgegeven, welke waarborgen bij verstrekken of doorgeven 
in acht moeten worden genomen, de feitelijke toegang tot de gegevens en 
de vernietiging ervan. Ik lees de ontwerpbeschikking zo de Commissie 
zich op vergelijkbare wijze heeft georiënteerd en daaraan een oordeel 
heeft verbonden. Een alomvattend toezicht op de verwerking van 
verzamelde gegevens acht WP 29 van belang. Ik leid hieruit af dat men het 
gelaagde stelsel van toezichtsmethoden in de VS niet voldoende acht. Het 
is echter zo dat de VS geen algemeen bevoegde toezichthouder voor 
gegevensbescherming kennen, ook niet in de context van de inlichtingen¬ 
en veiligheidsdiensten. Daarin zal moeten worden berust. Het is niet reëel 
te denken dat dit zal veranderen. Ook in Nederland is er sprake van een 
gelaagd toezicht op de inlichtingen- en veiligheidsdiensten met verschil¬ 
lende verantwoordelijkheden en bevoegdheden voor verschillende 
organen. 

Wat de rechtsbescherming betreft, wordt in de verklaringen voldoende 
duidelijk uiteengezet dat betrokkenen, ongeacht hun nationaliteit, de 
bescherming door het FISC in te roepen tegen de uitoefening van 
bevoegdheid tot het vergaren van gegevens, mits zij in staat zijn hun 
individueel belang aan te tonen. Het nogal gecompliceerde stelsel van 
rechtsgrondslagen voor onderzoek biedt blijkens de verklaringen ook nog 
andere mogelijkheden van toegang tot de rechter, al lijkt die weg niet in 
alle gevallen open te staan. 

Het is dan ook goed te zien dat VS duidelijk meer dan voorheen bereid zijn 
tegemoet te komen aan de Europese zorgen over het niet bestaan van een 
algemeen mechanisme in de VS om klachten van Europese burgers over 
de toegang van de autoriteiten tot doorgegeven gegevens te behandelen. 
Ik teken daarbij aan dat men ook besloten heeft de reikwijdte van het 
toezicht door de Ombudspersoon uit te breiden tot klachten die betrekking 
hebben op gegevens die zijn doorgegeven aan de VS krachtens andere 
grondslagen dan alleen het Shield. Er is nadrukkelijk gekeken naar alle 
krachtens de huidige richtlijn en de komende verordening in aanmerking 
komende grondslagen. De bij het State Department ingestelde Ombuds¬ 
persoon kan die rol vervullen. Natuurlijk is de rol van een Ombuds¬ 
persoon een andere dan die van de rechter. Daar moet wel bij worden 
bedacht dat ook in Nederland de Nationale ombudsman op grond van de 
Wet op de inlichtingen- en veiligheidsdiensten 2002 bevoegd is om 
individuele klachten te behandelen tegen het optreden van de diensten en 
dat ook in Nederland geen rechtstreeks beroep op de bestuursrechter 
openstaat tegen besluiten van de bevoegde Ministers inzake de uitoe¬ 
fening van de door de wet in het leven geroepen bevoegdheden. Ik ben 
over deze stap van de VS dan ook positief. 

WP 29 heeft duidelijke zorgen over de Ombudspersoon. Men betwijfelt of 
deze wel voldoende onafhankelijk is en of deze over voldoende bevoegd¬ 
heden beschikt om effectief te kunnen zijn. Ik vind het van belang dat de 
Ombudspersoon door de positionering bij het State Department en de 
keuze van een hoog hiërarchisch niveau (onderminister) behoorlijke 
voorzieningen zijn om onafhankelijk van de inlichtingen- en veiligheids¬ 
diensten te kunnen werken. Natuurlijk is een Ombudspersoon geen 
onafhankelijke rechter, maar dit staat onafhankelijk opereren niet per 
definitie in de weg. Ik wijs er ook op dat deze voorziening uniek is. Met 
geen enkel ander derde land - met inbegrip van alle derde landen die over 
een toereikendheidsoordeel beschikken - zijn tot dusverre vergelijkbare 
afspraken gemaakt. Ik heb dan ook met waardering kennis genomen van 
dit onderhandelingsresultaat. 

Ik zie verder in het mechanisme voor de jaarlijkse evaluatie en de 
mogelijkheid van opschorting of intrekking een belangrijke stimulans voor 
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de Commissie om ervoor te zorgen dat de toezeggingen en verklaringen 
in het Shield steeds worden nagekomen en indien nodig ook worden 
besproken met de Verenigde Staten. Ik deel dan ook het oordeel van 
WP 29 dat dit mechanisme positief moet worden beoordeeld. 

Al met al is mijn beoordeling van het geheel van het Shield overwegend 
positief. Ik kom daartoe omdat men zich op grond van aanmerkelijke 
inspanningen onder zeer hoge tijdsdruk de inhoud van de materiële 
normen heeft weten te verbeteren. Dat acht ik voor burgers én het 
bedrijfsleven van groot belang. Ik ben mij ervan bewust dat er bij de 
uitwerking van diverse onderdelen nog vragen zijn te stellen en nog 
wensen zijn te uiten. Ik realiseer mij daarbij ook dat de toegang van de 
overheid in de VS tot onder het Shield doorgegeven gegevens in veel 
gevallen mogelijk blijkt en dat de balans tussen privacy en veiligheid in 
Nederland op sommige vormen van toegang anders zou uitvallen. Er 
moet echter ook rekening worden gehouden met de omstandigheid dat 
een oordeel over ander rechtsstelsel een zeer gevoelige zaak is. Ik ben het 
dan ook met de Commissie en de VS eens dat dit geheel uitzicht biedt op 
een adequaat niveau van gegevensbescherming biedt aan doorgegeven 
gegevens. Ik denk wel dat het mogelijk is de overwegingen van het 
ontwerpbesluit verder te versterken. Een systematische opsomming van 
de criteria die in het arrest van het HvJEU zijn vastgesteld, gevolgd door 
een expliciete toets van het Shield, zou denkbaar zijn. De Commissie heeft 
aangegeven daarvoor open te staan, mits daarvoor bij de lidstaten een 
ruim voldoende draagvlak bestaat. Nederland zal beoordelen of het zich 
kan aansluiten bij voorstellen die door andere lidstaten in het vooruitzicht 
zijn gesteld. Ik zie, met inachtneming van deze marge voor een 
bescheiden verbetering, overigens ook geen goed alternatief voor het 
Shield. 

Met hetgeen de Commissie heeft bereikt zijn naar mijn mening ook de 
aanbevelingen uit de meergenoemde Mededeling die betrekking hebben 
op de toegang van de overheid tot krachtens het Shield naar de VS 
doorgegeven gegevens van november 2013 opgevolgd. Ik ben er ook van 
overtuigd dat de zeer frequente evaluaties waartoe de ontwerpbe¬ 
schikking verplicht, ertoe zullen leiden dat veel minder dan in de 
afgelopen 15 jaar het geval was een gevoel van zelfgenoegzaamheid over 
het geheel blijft bestaan en dat Commissie verplicht wordt om meer 
informatie met de lidstaten te delen. 

Vaststelling 

De procedure tot vaststelling van het besluit van de Commissie is 
geregeld in artikel 31 van de richtlijn. De Commissie raadpleegt de 
Europees Toezichthouder voor Gegevensbescherming krachtens 
verordening (EG) 45/2001. Dat advies is nog niet beschikbaar. Daarna 
vraagt de Commissie advies aan de Artikel 29 Werkgroep, bestaande uit 
de gegevensbeschermingstoezichthouders van de lidstaten. Op dat advies 
ging ik in het bovenstaande in. Vervolgens moet de Commissie advies 
vragen aan het Artikel 31 Comité dat bestaat uit vertegenwoordigers van 
de lidstaten. Daarna kan het besluit worden vastgesteld en bekendge¬ 
maakt. Dat comité vergadert op 29 april en 19 mei 2016. Na deze 
vergaderingen zal de Commissie het besluit vaststellen. Een uitvoerings¬ 
besluit van de Commissie is krachtens artikel 263 VWEU vatbaar voor een 
vernietigingsberoep bij het HvJEU. Een dergelijk beroep kan worden 
ingediend door het EP, de Raad of door een lidstaat. De beroepstermijn is 
twee maanden na de datum van bekendmaking van het besluit in het 
Publicatieblad van de EU. Het is niet uitgesloten dat een dergelijk beroep 
wordt gedaan. Na inwerkingtreding is het besluit bindend voor de 
lidstaten en daarmee ook voor de toezichthouders die immers onderdeel 
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zijn van de lidstaten. Dat sluit echter niet uit dat de verenigbaarheid van 
het besluit met de artikelen 7 en 8 van het Handvest van de Grondrechten 
via een prejudiciële procedure volgend op een handhavingsactie in een 
lidstaat aan het HvJEU kan worden voorgelegd. Indien een nietigheids- 
beroep uitblijft is het is denkbaar dat dit zal gebeuren naar aanleiding van 
een nieuwe klacht bij een toezichthouder. 

De Minister van Veiligheid en Justitie, 

G.A. van der Steur 
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